Ratgeber zum entfernen von viren und spyware, anleitung zum deinstallieren

Was für eine Art von Malware ist DORRA?

Bei der Untersuchung von Malware-Samples, die an VirusTotal übermittelt wurden, entdeckten wir eine Ransomware-Variante, die zu der Makop gehört und als DORRA bekannt ist. Diese Ransomware wurde entwickelt, um Opfer am Zugriff auf ihre Dateien zu hindern, indem sie diese verschlüsselt. Außerdem benennt DORRA Dateien um und liefert eine Lösegeld-Notiz ("+README-WARNING+.txt").

DORRA fügt die ID des Opfers, eine E-Mail-Adresse und die Erweiterung ".DORRA" an Dateinamen an. So wird beispielsweise aus "1.jpg" "1.jpg.[2AF20FA3].[dorradocry@outlook.com].DORRA", aus "2.png" "2.png.[2AF20FA3].[dorradocry@outlook.com].DORRA" und so weiter.

Was für eine Art von Anwendung ist CiviApp?

CiviApp ist der Name einer potenziell unerwünschten Anwendung (PUA). Software dieser Klassifizierung verfügt in der Regel über unerwünschte und möglicherweise bösartige Funktionen. PUAs neigen dazu, Systeme in Paketen (zusammen mit anderer Software) zu infiltrieren, was auch auf das von uns analysierte Installationsprogramm von CiviApp zutrifft.

Was für eine Erweiterung ist SeekFast?

Wir haben die Browser-Erweiterung SeekFast getestet und festgestellt, dass sie einen Webbrowser, indem er dessen Einstellungen modifiziert. Beim Hinzufügen von SeekFast setzt die Erweiterung bestimmte Einstellungen auf findflarex.com. Außerdem kann SeekFast verschiedene Daten sammeln. Es wird empfohlen, das Hinzufügen von SeekFast zu Browsern zu vermeiden.

Was für eine Art von Malware ist PartiZAN32?

PartiZAN32 ist eine Ransomware-Variante aus dem Xorist Familie. Unser Team entdeckte PartiZAN32 bei der Analyse von Proben, die auf die VirusTotal Website hochgeladen wurden. PartiZAN32 verschlüsselt Dateien, fügt seine Erweiterung (".xqwertzuioplkjhgfyxcvbnmD") an Dateinamen an und ändert das Desktop-Hintergrundbild.

Außerdem liefert er zwei Erpresserbriefe (erstellt die Datei "HOW TO DECRYPT FILES.txt" und zeigt eine Popup-Meldung an). Ein Beispiel dafür, wie PartiZAN32 Dateien umbenennt: Er ändert "1.jpg" in "1.jpg.qwertzuioplkjhgfyxcvbnmD", "2.png" in "2.png.qwertzuioplkjhgfyxcvbnmD", und so weiter.

Was für eine Art von Malware ist RansomHub?

RansomHub ist ransomware, eine Art von Malware, die Dateien verschlüsselt und den Opfern Anweisungen gibt, wie sie für deren Entschlüsselung bezahlen sollen. Darüber hinaus benennt RansomHub Dateien um, indem es eine Zeichenfolge aus zufälligen Zeichen an Dateinamen anhängt (z. B. benennt es "1.jpg" in "1.jpg.9a311a" und "2.png" in "2.png.9a311a" um). Der Erpresserbrief von RansomHub ist in der Datei "README_[random_string].txt" enthalten.

Was für eine E-Mail ist ein "Trustworthy Foreign Partner"?

Beim Lesen der E-Mail "Trustworthy Foreign Partner" haben wir festgestellt, dass es sich um Spam handelt. Das Schreiben wird als Vorschlag für eine Partnerschaft präsentiert, bei der dem Empfänger das Vermögen des Absenders überwiesen werden soll. Das nicht existierende Vermögen ist Millionen wert, und der Empfänger kann 35 % davon behalten.

Es muss betont werden, dass alle Informationen in dieser E-Mail falsch sind. Mit dieser Masche sollen die Opfer dazu verleitet werden, gefährdete Daten preiszugeben oder Geld an die Betrüger zu senden.

Was für eine Art von Anwendung ist TjboApp?

Bei der Untersuchung dubioser Websites stießen unsere Forscher auf die TjboApp PUA (Potentially Unwanted Application). Software dieser Kategorie verfügt in der Regel über unerwünschte oder schädliche Funktionen.

PUAs neigen dazu, Systeme in Paketen zu infiltrieren (d. h. zusammen mit anderer verdächtiger Software). Dies trifft auf das Installationsprogramm zu, das TjboApp trägt und das wir analysiert haben.

Was für eine Art von Betrug ist "Collect 500 CUBEs"?

Unsere Analyse der Seite (in-online[.]eu), die per E-Mail beworben wird, hat gezeigt, dass es sich um eine Betrugs-Website handelt, die sich als Seite für ein Kryptowährungs-Giveaway ausgibt. Es wird behauptet, dass Einzelpersonen im Gegenzug für die Teilnahme Belohnungen erhalten können. Der wahre Zweck dieser Betrugsseite besteht jedoch darin, Kryptowährung von den Teilnehmern zu stehlen.

Was für eine Erweiterung ist FIIND?

Wir haben die FIIND-Browsererweiterung getestet und festgestellt, dass sie die Einstellungen eines Webbrowsers ändert, um eine gefälschte Suchmaschine zu fördern. Erweiterungen dieser Art sind bekannt als Browser-Hijacker. Benutzer werden oft dazu verleitet, solche Anwendungen zu ihren Browsern hinzuzufügen. Daher sollten FIIND und ähnliche Erweiterungen vermieden werden.

Was ist die gefälschte "InQubeta Token Presale"-Website?

Nachdem wir diese "InQubeta Token Presale"-Veranstaltung untersucht haben, haben wir festgestellt, dass sie gefälscht ist. Dieser Betrug imitiert die InQubeta-Plattform (inqubeta.co) und nutzt eine gefälschte "Vorverkaufsveranstaltung" als Köder.

Benutzer, die von dieser Nachahmer-Seite getäuscht werden, setzen ihre digitalen Geldbörsen einem Kryptowährungsabflussprogramm aus. Daher können die Opfer dieses Betrugs alle oder die meisten der in den kompromittierten Kryptowährungen gespeicherten Gelder verlieren. Es muss betont werden, dass dieser Betrug nicht mit der tatsächlichen InQubeta oder anderen existierenden Plattformen und Unternehmen verbunden ist.